- Napreden AI iskalnik za hitro iskanje primerov
- Dostop do celotne evropske in slovenske sodne prakse
- Samodejno označevanje ključnih relevantnih odstavkov
Podobni dokumenti
Ogledaj podobne dokumente za vaš primer.Prijavi se in poglej več podobnih dokumentov
Obseg uporabe 23. člena ZVOP-2
Z nami najdeš vse. Preizkusi zdaj!
Samo zamislim si kaj bi rada da piše v sodbi, to vpišem v iskalnik, in dobim kar sem iskala. Hvala!
Tara K., odvetnica
Obseg uporabe 23. člena ZVOP-2
Datum
30.06.2023
Številka
07121-1/2023/887
Kategorije
Varnost osebnih podatkov, Zdravstveni osebni podatki
Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaše zaprosilo za mnenje glede uporabe rešitev za shranjevanje podatkov v oblaku v državah EU za podatke, ki se obdelujejo v zdravstvenih ustanovah na področju klinične učinkovitosti in uporabe medicinske opreme za diagnostiko in zdravljenje. Zanima vas, ali je pravilno stališče, da v sklop podatkov iz 23. člena ZVOP-2 ne spadajo podatki, ki se obdelujejo v zdravstvenih ustanovah v sklopu programskih rešitev in aplikacij posamezne opreme, ki spremljajo delovni proces in omogočajo podporo pri uporabi medicinske opreme ter sprejemanju kliničnih in organizacijskih odločitev ter da se 23. člen se sklicuje zgolj na podatke, ki spadajo v okvir zakonodaje vezane na zdravstveno varstvo in obvezno zdravstveno zavarovanje, kar pa ne vključuje navedenih podatkov.
Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22; v nadaljevanju: ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, 51/07 – ZUstS-A; ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.
IP meni, da se določbe 23. člena ZVOP-2 nanašajo na zbirke osebnih podatkov oziroma informacijske rešitve, ki jih opredeljujejo v 23. členu ZVOP-2 določeni zakoni in ne tudi na druge zbirke osebnih podatkov, ki jih sicer vodijo zavezanci (npr. kadrovske evidence, programske rešitve za nabavo opreme ipd.); vendar pa IP vnaprej in izven inšpekcijskega postopka ne more presojati, katere konkretne informacijske rešitve oziroma deli so to in katere ne, zlasti z vidika njihove morebitne integracije.
Obrazložitev
Prvi odstavek 23. člena ZVOP-2 glede varnosti osebnih podatkov na področju posebnih obdelav določa, da se za informacijske sisteme, v katerih:
1.se izvajajo obdelave osebnih podatkov, določenih v zakonih, ki urejajo področja upravnih notranjih zadev, finančne uprave, državljanstva, Slovenske obveščevalno-varnostne agencije, obrambe, zdravstvenega varstva, obveznega zdravstvenega zavarovanja, uveljavljanja pravic iz javnih sredstev ter kazenskih in prekrškovnih evidenc, ali
2.se obdelujejo osebni podatki več kot 100.000 posameznikov na podlagi zakona, razen obdelav osebnih podatkov iz 3. poglavja 2. dela tega zakona, ali
3.upravljavec ali obdelovalec kot svojo temeljno dejavnost izvaja obsežne obdelave posebnih vrst osebnih podatkov, ali
4.se obdeluje posebne vrste osebnih podatkov več kot 10.000 posameznikov,
se smiselno uporabljajo določbe o varnostnih zahtevah in priglasitvi incidentov iz zakona, ki ureja informacijsko varnost, ki se nanašajo na izvajalce bistvenih storitev, če upravljavec glede teh obdelav ni dolžan izvajati ukrepov po zakonu, ki ureja informacijsko varnost.
Drugi odstavek dalje določa, da kadar bi kršitev varnosti osebnih podatkov, ki se obdelujejo v informacijskih sistemih iz prejšnjega odstavka, lahko hudo škodovala varnosti ali interesom Republike Slovenije, upravljavci ali obdelovalci obdelave teh podatkov izvajajo tako, da se sistemsko onemogoča uničenje, nezakonite spremembe osebnih podatkov ali razkritje nepooblaščenim osebam ali drugim subjektom, ki za dostop do njih ali za njihovo obdelavo nimajo pravne podlage ter s tem stalno preprečuje hudo škodo varnosti in interesom Republike Slovenije.
Tretji odstavek dalje določa, da če se po prvem odstavku tega člena obdelujejo biometrični osebni podatki, zdravstveni osebni podatki ali podatki iz kazenskih in prekrškovnih evidenc in obdelavo izvajajo državni organi, samoupravne lokalne skupnosti, javne agencije, javni zavodi, javna podjetja, izvajalci javnih služb ali nosilci javnih pooblastil, je prepovedana hramba, pri kateri fizična lokacija hrambe teh podatkov ni znana v vseh fazah hrambe in obdelave.
Četrti odstavek dalje določa, da zbirk osebnih podatkov iz 1. točke prvega odstavka tega člena ni dovoljeno hraniti izven ozemlja Republike Slovenije.
IP meni, da so določbe prvega odstavka, na katere se kasneje navezujejo tudi določbe preostalih odstavkov 23. člena ZVOP-2 primarno nanašajo na posebej pomembne zbirke osebnih podatkov na določenih področjih, ki so še posebej pomembna za državo, kot so recimo zdravstvo, obramba in notranje-upravne zadeve. Gre za določene zbirke, ki so zaradi svoje velikosti, podatkov, ki se v njej obdelujejo ali drugih lastnosti, posebej občutljive – zanje se določa poseben sistem varovanja.
Kot izhaja iz obrazložitev ZVOP-2 iz predlogo Vlade RS v postopku sprejema ZVOP-2 je:«… namen predloga določiti posebno varovanje zbirk osebnih podatkov, ki vsebujejo podatke o velikem številu posameznikov. Prav velikost zbirk je lastnost, ki jih naredi posebej problematične v primeru (neželenega) razkritja. Upravljavci, ki bi želeli vzpostaviti ali voditi tako obsežne zbirke, bodo morali izvesti nekaj dodatnih ukrepov za zagotovitev varnosti podatkov.«
Kot razumemo vas zanima, ali so posebni ukrepi za varnost podatkov, kot jih določa 23. člen, raztezajo tudi na preostale informacijske rešitve/sisteme, ki jih uporabljajo zavezanci, ki delujejo na podlagi navedenih zakonov - specifično vas zanima za področje zdravstva, ali to velja tudi npr. za programske rešitve in aplikacije, ki spremljajo delovni proces in omogočajo podporo pri uporabi medicinske opreme ter sprejemanju kliničnih in organizacijskih odločitev ipd.
23. člen se z vidika zdravstva po mnenju IP nanaša na informacijske sisteme, v katerih se izvajajo obdelave osebnih podatkov, določene v zakonih, ki urejajo področja zdravstvenega varstva in obveznega zdravstvenega zavarovanja[1] – konkretno gre torej za Zakon o zdravstvenem varstvu in zdravstvenem zavarovanju (Uradni list RS, št. 72/06 – uradno prečiščeno besedilo, s spremembami in dopolnitvami),
IP zato meni, da se določbe 23. člena ZVOP-2 nanašajo na zbirke osebnih podatkov oziroma informacijske rešitve, ki jih opredeljujejo v 23. členu določeni zakoni in ne tudi na druge zbirke osebnih podatkov, ki jih vodijo zavezanci (npr. kadrovske evidence, programske rešitve za nabavo ipd.); vendar pa IP vnaprej in izven inšpekcijskega postopka ne more presojati, katere konkretne informacijske rešitve oziroma deli so to in katere ne, zlasti z vidika njihove morebitne integracije.
S spoštovanjem,
Mojca Prelesnik, univ. dipl. prav., Informacijska pooblaščenka
Pripravil
mag. Andrej Tomšič, namestnik informacijske pooblaščenke
---
[1]Nomotehnično zakoni v ZVOP-2 niso konkretno poimenovani, da to ne bi terjalo vsakokratnih popravkov zakona ob morebitnih spremembah poimenovanj zakonov ali njihovega obsega.